kushkalia1908/apk-fraud-analyzer

GitHub: kushkalia1908/apk-fraud-analyzer

基于 Python 的 Android APK 静态恶意软件分析脚本,无需运行应用即可提取欺诈与恶意行为的可观测指标。

Stars: 0 | Forks: 0

# APK 欺诈分析器 一个用于检查可疑 Android APK 的 Python 静态分析脚本。基于 [androguard](https://github.com/androguard/androguard) 构建,旨在无需运行或安装 APK 的情况下,快速挖掘欺诈或恶意应用(如伪造的银行/政府应用、Dropper 等)的指标。 ## 检查内容 - **文件哈希** — APK 的 MD5 和 SHA256 - **应用身份** — 包名、应用标签、版本、最低/目标 SDK - **签名证书** — v1/v2/v3 签名状态、主题/颁发者、SHA256 指纹,以及 AOSP 公共 debug 证书的标志(如果出现在“真实”应用上,这是一个强烈的危险信号) - **Manifest 危险信号** — 是否存在 `debuggable` 和 `usesCleartextTraffic` 属性 - **权限** — 请求的完整权限列表 - **组件** — Manifest 中声明的 activities、services 和 receivers - **内嵌 URL** — 在 DEX 字节码中发现非标准 URL(已进行过滤,排除了常见的 SDK/schema 域名) - **Dropper/加密行为证据** — 对与加密 payload、应用安装、VPN 服务和 AES/CBC 使用相关的字符串进行模式匹配 ## 环境要求 ``` pip install androguard loguru ``` ## 用法 ``` python analyze_apk.py path/to/sample.apk ``` 或者不带参数运行,系统会提示你输入文件名: ``` python analyze_apk.py ``` 报告会自动保存为工作目录下的 `evidence_report_.txt`,因此多个样本不会相互覆盖输出内容。 ## 输出示例(已截断) ``` ====================================================================== FRAUD APK ANALYSIS REPORT ====================================================================== Target APK : sample.apk [1] FILE HASHES MD5 : ... SHA256: ... [2] APP IDENTITY Package name : com.example.fake App label : Example App ... ``` ## 免责声明 本工具**仅供教育和防御性安全研究目的使用** —— 例如,分析你收到的可疑 APK,以便在报告或阻止它们之前了解其行为。请勿使用它来分析你没有权限检查的应用,也不要利用任何发现来构建或分发恶意软件。作者对任何滥用行为不承担责任。 ## 许可证 MIT(或根据你的偏好进行更新)
标签:开源情报, 逆向工具